Um die Einstellungen für autom. Austausch des Verschlüsselungscodes anzuzeigen oder festzulegen, wählen Sie den Befehl "ipsec ike".
Anzeige der aktuellen Einstellungen
msh> ipsec ike {1|2|3|4|default}
Um die Einstellungen 1-4 anzuzeigen, geben Sie die entsprechende Nummer [1-4] ein.
Um die Standardeinstellung anzuzeigen, geben Sie [default] ein.
Wenn Sie keinen Wert eingeben, werden alle Einstellungen angezeigt.
Deaktivieren von Einstellungen
msh> ipsec ike {1|2|3|4|default} disable
Um die Einstellungen 1-4 zu deaktivieren, geben Sie die Nummer [1-4] ein.
Um die Standardeinstellungen zu deaktivieren, geben Sie [default] ein.
Geben Sie die benutzerspezifische lokale bzw. Remote-Adresse an.
msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"
Geben Sie die separate Einstellung [1-4] und den Adresstyp ein, um die lokale Adresse und die Remote-Adresse festzulegen.
Um die lokale Adresse oder die Remote-Adresse festzulegen, geben Sie masklen an, indem Sie bei einer IPv4-Adresse [/] und eine Ganzzahl zwischen 0 und 32 eingeben. Bei einer IPv6-Adresse geben Sie masklen an, indem Sie [/] und eine Ganzzahl zwischen 0 und 128 eingeben.
Wenn Sie keine Adresse eingeben, wird die aktuelle Einstellung angezeigt.
Festlegen des Adresstyps in der Standardeinstellung
msh> ipsec ike default {ipv4|ipv6|any}
Legen Sie den Adresstyp für die Standardeinstellung fest.
Um IPv4 und IPv6 festzulegen, geben Sie [any] ein.
Einstellen der Sicherheitsrichtlinien
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die Sicherheitsvereinbarung für die in der ausgewählten Einstellung angegebene Adresse fest.
Um IPsec auf die relevanten Pakete zu übernehmen, geben Sie [apply] ein. Um IPsec nicht zu übernehmen, geben Sie [bypass] ein.
Wenn Sie [discard] eingeben, werden alle Pakete verworfen, auf die IPsec angewendet werden kann.
Wenn Sie keine Sicherheitsrichtlinie festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen des Sicherheitsprotokolls
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie das Sicherheitsprotokoll fest.
Um AH festzulegen, geben Sie [ah] ein. Um ESP festzulegen, geben Sie [esp] ein. Um AH und ESP festzulegen, geben Sie [dual] ein.
Wenn Sie kein Protokoll festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen der IPsec-Anforderungsstufe
msh> ipsec ike {1|2|3|4|default} level {require|use}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die IPsec-Anforderungsstufe fest.
Bei Eingabe von [require] werden keine Daten übertragen, wenn IPsec nicht verwendet werden kann. Bei Eingabe von [use] werden Daten normal übertragen, wenn IPsec nicht verwendet werden kann. Wenn IPsec verwendet werden kann, wird eine IPsec-Übertragung durchgeführt.
Wenn Sie keine Anforderungsstufe festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen des Kapselungsmodus
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Verkapselungsmodus fest.
Um den Transportmodus festzulegen, geben Sie [transport] ein. Um den Tunnel-Modus festzulegen, geben Sie [tunnel] ein.
Wenn Sie den Adresstyp in der Standardeinstellung auf [any] gesetzt haben, können Sie [tunnel] für den Verkapselungsmodus nicht verwenden.
Wenn Sie keinen Kapselungsmodus festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen der Tunnel-Endpunkte
msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die IP-Startadresse und die IP-Endadresse des Tunnel-Endpunkts fest.
Wenn Sie weder die Startadresse noch die Endadresse festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen der IKE-Partner-Authentifizierungsmethode
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die Authentifizierungsmethode fest.
Geben Sie [psk] ein, um einen gemeinsamen Code als Authentifizierungsmethode zu verwenden. Geben Sie [rsasig] ein, um ein Zertifikat als Authentifizierungsmethode zu verwenden.
Bei Auswahl von [psk] müssen Sie auch die PSK-Zeichenkette spezifizieren.
Beachten Sie, dass ein Zertifikat für IPsec vor der Verwendung installiert und festgelegt werden muss, wenn Sie "Zertifikat" wählen. Das Zertifikat kann mit Web Image Monitor installiert und festgelegt werden.
Einstellen der PSK-Zeichenkette
msh> ipsec ike {1|2|3|4|default} psk "PSK character string"
Wenn Sie PSK als Authentifizierungsmethode wählen, geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die PSK-Zeichenfolge fest.
Spezifizieren Sie die Zeichenkette in ASCII-Zeichen. Es dürfen keine Abkürzungen verwendet werden.
Einstellen des ISAKMP SA (Phase 1) Hash-Algorithmus
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Hash-Algorithmus für ISAKMP SA (Phase 1) fest.
Wenn Sie keinen Hash-Algorithmus festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen des ISAKMP SA (Phase 1)-Verschlüsselungsalgorithmus
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Verschlüsselungsalgorithmus für ISAKMP SA (Phase 1) fest.
Wenn Sie keinen Verschlüsselungsalgorithmus festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen der ISAKMP SA (Phase 1)-Diffie-Hellman-Gruppe
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die Diffie-Hellman-Gruppennummer für ISAKMP SA (Phase 1) fest.
Geben Sie die zu verwendende Gruppennummer ein.
Wenn Sie keine Gruppennummer festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen der ISAKMP SA (Phase 1)-Gültigkeitsdauer
msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Gültigkeitszeitraum für ISAKMP SA (Phase 1) fest.
Geben Sie die Gültigkeitsdauer (in Sekunden) zwischen 300 und 172.800 ein.
Wenn Sie keine Gültigkeitsdauer festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen des IPsec SA (Phase 2)-Authentifizierungsalgorithmus
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Authentifizierungsalgorithmus für IPsec SA (Phase 2)fest.
Trennen Sie mehrere Verschlüsselungsalgorithmen-Einträge mit einem Komma (,). Die aktuellen Einstellwerte werden in der Reihenfolge der höchsten Priorität angezeigt.
Wenn Sie keinen Authentifizierungsalgorithmus festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen des IPsec SA (Phase 2)-Verschlüsselungsalgorithmus
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Verschlüsselungsalgorithmus für IPsec SA (Phase 2) fest.
Trennen Sie mehrere Verschlüsselungsalgorithmen-Einträge mit einem Komma (,). Die aktuellen Einstellwerte werden in der Reihenfolge der höchsten Priorität angezeigt.
Wenn Sie keinen Verschlüsselungsalgorithmus festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen von IPsec SA (Phase 2)-PFS
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie die Diffie-Hellman-Gruppennummer für IPsec SA (Phase 2) fest.
Geben Sie die zu verwendende Gruppennummer ein.
Wenn Sie keine Gruppennummer festlegen, wird die aktuelle Einstellung angezeigt.
Einstellen der IPsec SA (Phase 2)-Gültigkeitsdauer
msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"
Geben Sie die separate Einstellung [1-4] oder [default] ein und legen Sie den Gültigkeitszeitraum für IPsec SA (Phase 2) fest.
Geben Sie die Gültigkeitsdauer (in Sekunden) zwischen 300 und 172.800 ein.
Wenn Sie keine Gültigkeitsdauer festlegen, wird die aktuelle Einstellung angezeigt.
Zurücksetzen von Einstellwerten
msh> ipsec ike {1|2|3|4|default|all} clear
Geben Sie die separate Einstellung [1-4] oder [default] ein und setzen Sie die angegebene Einstellung zurück. Wenn Sie [all] eingeben, werden alle Einstellungen, einschließlich der Standardeinstellungen, zurückgesetzt.